Home
Intern
veröffentlicht am 25. November 2021
von Hannes Hahn und Jonas Dikau, Rödl & Partner Köln, und Martin Gärthöffner
Die gewohnte, verlässliche Welt hat sich gewandelt. Der Umbau der Energieversorgung, neue Mechanismen durch Stromhandel und dezentrale erneuerbare Energiequellen – on demand gesteuert –, die Veränderungen des Klimas und deren direkt spürbare Auswirkungen, die Pandemie, Lieferengpässe und nicht zuletzt die Cyber-Kriminalität als Geschäftsmodell. Alles trägt dazu bei, dass wir „Notfall” anders begreifen und dieses Neu auch üben müssen.
Die innerhalb der letzten Jahrzehnten erfahrene Verlässlichkeit in Organisation, Technik sowie Verfügbarkeit von Ressourcen ist Vergangenheit.
All das führt dazu, dass Notfälle und Katastrophen näher in das Bewusstsein des Managements und nicht nur in das der IT gerückt werden müssen. Vermehrt erstmals erstellte oder seit langem wieder aktualisierte Notfallpläne (oder ausgeweitet als Business Continuity Management – BCM) reichen dabei nicht aus.
Der dort abstrakt bzw. theoretisch skizzierte Umgang mit Notfällen muss aus heutiger Sicht trainiert werden. Genauso wie die regelmäßig und oft unangekündigten Feuerwehrübungen braucht es ein Verständnis für Übung und Lernen aus der Übung!
Zunächst sollte ein Plan im Vordergrund stehen, welcher aus einer Risikosicht heraus die für eine Organisation richtigen und wichtigen Bereiche, welche in einer Übung fokussiert werden sollten, abdeckt. Auch vor dem Hintergrund einer auf mehrere Jahre verteilten Prüfung empfiehlt es sich, diesen Plan strukturiert aufzubauen.
Grundlage einer solchen Planung sollte die im Rahmen eines BCM durchgeführte Business Impact Analyse (BIA) sein. Eine BIA ist in der Regel auf den relevanten Geschäftsprozessen aufgebaut und gibt wichtige Impulse für die Bestimmung des „Orts der Übung”. Hat z. B. der Logistikprozess innerhalb eines Unternehmens eine hohe Bedeutung, kann abgeleitet werden, dass es sinnvoll ist, dort eine Notfall-Übung zu verorten.
Den übergreifenden Zusammenhang liefert auch der folgende Beitrag: Business Continuity Management
Man könnte natürlich eine Notfall-Übung durchführen, indem man „einfach den Stecker zieht” und wartet, was passiert. Dieser Ansatz ist jedoch – erkennbar für jeden – wenig professionell. Ebenso ist die Aussage: „Wir haben jeden Tag Notfälle und somit üben wir ständig!” kein wirklich hilfreicher Ausgangspunkt.
Die Frage ist also, mit welcher methodischen Herangehensweise eine weitestgehend realistische Situation herbeigeführt werden kann, ohne ernsthaft mit der Übung einen echten Notfall zu erzeugen?
Dabei wurde in der Vergangenheit mit zwei grundlegenden Modellen gute Erfahrungen erzielt.
Mit dem „fiktiven Notfallszenario” wird eine Herangehensweise verfolgt, sich dem Notfall beschreibend zu nähern, also den Ort des Notfalls, die Rahmengegebenheiten sowie das Ausmaß zu erklären, ohne es „herbei zu führen”!
Gegenstand der Übung sind somit Planspiele mit den im Fokus stehenden Verantwortlichen, aber auch mit den durch den Notfall Betroffenen.
Die im Planspiel gewonnenen Erkenntnisse (Reaktionsdauer, Handlungen, Entscheidungen, getroffene Gegenmaßnahmen, Folgewirkungen, erneute Reaktionsstrang etc.) werden mit dem Notfallteam gespiegelt. Ein Lerneffekt entsteht.
Der „simulierte Angriff” verfolgt einen anderen Ansatz. Hier wird davon ausgegangen, dass ein gewisser Reifegrad innerhalb eines Security-Operationscenter (SOC) schon gegeben ist und durch einen digital simulierten Angriff die Überwachungs- und Abwehrinstrumente in der Art greifen, dass das SOC zeitnah und richtig handeln kann und dies auch bei einer Übung tut. Bei dieser Art des simulierten Angriffs muss die Art des Angriffs mit eingeweihten Führungskräften des SOC abgestimmt sein, sodass nicht Notfall erzeugende Gegenmaßnahmen (z.B. Herunterfahren von Services im laufenden Betrieb) innerhalb der Übung angestoßen werden.
In beiden Fällen gehört zu einer richtigen Vorbereitung einer Übung die Ausgestaltung der Ursache, also des auslösenden Sachverhalts sowie ggf. dem physischen Ort des Geschehens sowie deren Stärke / Wirkung. Mögliche Übungs-Szenarien wären beispielsweise:
Bei der Ausgestaltung hängt vieles von den vorliegenden Informationen (z. B. der obigen BIA) ab. Insbesondere bei der Gestaltung komplexerer Übungen (also auch bei einer Kombination verschiedener Auslöser) ist eine genaue Kenntnis des Unternehmens, der Abteilungen, der IT-Organisation, der Infrastruktur etc. dringend notwendig.
Bei der Festlegung des auslösenden Sachverhalts ist auch nicht alleine auf die IT zu blicken. Auch die Reaktion der einzelnen Abteilungen in einem Unternehmen sind bei der Bewältigung eines Notfalls entscheidend. Ein Notfall ist in der Regel nicht durch die IT alleine zu bewältigen.
Um diese Fragen im Rahmen der Übung beantworten zu können, ist die Definition des auslösenden Sachverhalts bzw. des Ort des Geschehens enorm wichtig. Auch um abzuklären,
Auf Basis der obigen Vorarbeit kann diese so fortgesetzt werden, sodass noch vor der Übung – mit einer gewissen Toleranz für „Unvorhergesehenes” – bestimmt wird, was als Reaktionen und Gegenmaßnahmen seitens der Übungsbeteiligten erwartet wird. Ein Gerüst gibt folgende Gliederung:
Dabei sollten bei der Ausgestaltung die gegebenenfalls schon vorliegenden Notfall-Regelungen und die Notfall-Vorsorge-Konzeption einbezogen werden.
Je nach Umfang und Bedeutung der Übung sollte im Vorfeld durchdacht werden, wer alles von der Übung erfahren soll. Der Grad der Ankündigung einer Übung verwässert in gewissem Umfang das Ergebnis. Die Übung aber gänzlich geheim zu halten, würde im schlimmsten Falle Kosten nach sich ziehen, dem Image des Unternehmens schaden oder im schlimmsten Fall einen „echten” Notfall auslösen Daher ist in jedem Falle in Bezug auf die Art der Übung darüber zu entscheiden,
Nicht zu unterschätzen ist der zu wählende Zeitpunkt der Übung. Arbeitnehmerfreundlich wäre Mittwoch 10 Uhr, aber sehr unrealistisch und vor dem Hintergrund z. B. von Cyberangriffen unüblich. Üblicher ist eine Cyber-Attacke kurz vor 18 Uhr am Freitag, um bei Erfolg, das Wochenende über, aus Sicht der Angreifer, Zeit zu haben.
Die Wahl des Zeitpunkts hängt von den vorher gemachten Entscheidungen über das Übungsziel und der individuellen Situation ab. Gegebenenfalls reicht es auf Basis des mehrjährigen Übungsplans zum Start „einfacher” zu üben und erst über den Verlauf den Umfang der Übungen zu steigern.
Ein Einstieg kann mit strukturierten Interviews zur normalen Geschäftszeit oder mit einem simulierten Cyberangriff erfolgen.
Klar und deutlich muss aber auch sein, dass ein solches Ergebnis nur bedingt Grundlage für Verbesserung ist, da keine Stress-Situationen die Handlungen beeinflussen und auch keine Verfügbarkeit hinterfragt werden kann (Urlaub, Krankheit, Vertretung, Service-Levels bei Dritten etc.).
Das Gut einer generellen, unbedingten und nicht verhandelbaren Wertschätzung muss immer Grundlage für Notfall-Übungen sein. Eine Notfall-Übung ist eine Teamarbeit und da in der Regel selten Notfall-Übungen umgesetzt wurden und sich die Welt dynamisch ändert, muss man festhalten, dass Fehler passieren werden!
Die Bereitschaft, Fehler als etwas Positives zu erkennen, da sie helfen, sie in der Übung zu erkennen und nicht erst im realen Notfall, muss Grundlage dieser gesamten Konzeption sein.
Spätestens bei der Ausgestaltung des Fazits einer Übung, der Zusammenfassung in einem Bericht und die sich daran anschließende (oder im Idealfall laufende) Kommunikation der Ergebnisse an alle Beteiligte muss von Vertrauen an alle und Wertschätzung über die Erkenntnisse und Verbesserungen aus der Übung heraus getragen sein.
Sie haben eine Frage zum Thema? Lassen Sie uns diese gerne über das nachfolgende Kontaktformular zukommen.
Helfen Sie uns, Spam zu bekämpfen.
*
Jonas Dikau
B.Sc. Informationsmanagement
Manager
Anfrage senden
Falk Hofmann
ISO/IEC27001/KRITIS -Auditor
Partner